¿Privacy Framework?

El pasado lunes 10 de julio, se aprobó el «EU-U.S. Data Privacy Framework», o el tercer intento de cuadrar la legislación estadounidense y la europea sobre la privacidad de nuestros datos personales, tras «Safe Harbor» (2000) —que fue anulado por el Tribunal de Justicia de la Unión Europea en 2015, por vulnerar el Reglamento General de Protección de Datos o RGPD— y el «Privacy Shield» (2016), también anulado por el mismo motivo y el mismo tribunal.

No es poca cosa. Sin una base legal que regule la transferencia de datos entre la Unión y Estados Unidos, más de un billón de euros al año en transacciones económicas transfronterizas sufren una inseguridad jurídica que las pone en riesgo. Pero ¿cómo hemos podido llegar hasta aquí?

En 2011, el austriaco Maximilian Schrems pasaba un semestre en la Universidad de Santa Clara para complementar sus estudios de Derecho cuando su clase recibió la visita de Ed Palmieri, abogado de Facebook encargado de que la plataforma cumpliera las distintas normativas de privacidad de datos.

A Schrems le sorprendió el desconocimiento de Palmieri sobre la legislación europea y decidió dedicar su tesis a la implementación de Facebook de la misma. El joven abogado descubrió que la compañía norteamericana recogía ingentes cantidades de datos de sus usuarios, incluyendo información que los mismos creían haber borrado.

Aprovechando que Facebook había abierto una oficina en Irlanda para ahorrar impuestos y eso le sometía a la legislación europea sobre protección de datos, Schrems solicitó el acceso a los suyos. Unas pocas semanas después, recibió un CD con casi 1.200 páginas de información, incluyendo datos de sí mismo que él nunca había proporcionado, pero que algunos de sus amigos habían registrado. El hallazgo derivó en una demanda y posterior sentencia —denominada Schrems I— que finiquitó el «Safe Harbor» porque era evidente que el mismo no garantizaba los derechos de los ciudadanos europeos ni les proporcionaba ningún mecanismo para ejercerlos.

El abogado también acabó con su sucesor, denominado «Privacy Shield», al conseguir que el tribunal europeo dictaminara que —sentencia, Schrems II— más allá del uso de los datos por parte de empresas privadas, la propia Administración de EEUU no garantizaba un nivel de protección adecuado.

Uno de los fundamentos de Schrems II fue «la Sección 702», un agujero legal que permite a las agencias de seguridad norteamericanas espiar a extranjeros sin las garantías jurídicas que se aplican a los ciudadanos norteamericanos.

El nuevo «Privacy Framework» es la respuesta a Schrems II por parte de la Comisión Europea y el Gobierno norteamericano. Por si —por cualquier cosa— no quieres leer las 137 páginas del mismo, he hecho un pequeño resumen de su contenido y cómo puede afectarnos.

Los ciudadanos

Estados Unidos se ha comprometido a que, a pesar de la Sección 702, sus servicios de inteligencia solo podrán acceder a los datos personales de la Unión Europea cuando sea «necesario y proporcionado».

Las empresas estadounidenses que quieran adherirse al «Privacy Framework» deben comprometerse a borrar los datos personales cuando ya no sean necesarios para el fin para el que fueron recogidos, y a garantizar que eso también se aplica en caso de que los compartan con terceros.

Pero si dichas empresas hacen un mal uso de esos datos, ahora los ciudadanos de la Unión dispondrán de un trámite sencillo y gratuito para dirimir cualquier disputa y exigir el cumplimiento de sus derechos, incluyendo el borrado de cualquier dato personal.

Las empresas

En teoría, el framework se dirige a las compañías norteamericanas que quieran hacer negocios en Europa, pero en realidad, esta norma afecta a todas las empresas europeas. Sin el mismo, por el mero hecho de usar cualquier servicio o producto digital de una compañía estadounidense o con servidores alojados allí estarían infringiendo las leyes de protección de datos.

Para evitar cualquier problema, a partir de ahora, las empresas europeas deben asegurarse de que las políticas de privacidad de dichos servicios y productos recogen los principios del Privacy Framework o —mejor aún— aceptan someterse al mismo de forma explicita.

¿A la tercera va a la vencida?

Maximilian Schrems no lo cree así. El problema es que el «Privacy Framework» se limita a recoger que los servicios de inteligencia norteamericanos solo podrán acceder a datos personales de ciudadanos y empresas europeas cuando sea «necesario y proporcionado», pero no acota qué se considera necesario y proporcionado y, por tanto, la protección de los derechos de los ciudadanos europeos sigue sin garantizarse lo más mínimo.

Tampoco cree en los mecanismos para resolver disputas que se definen en el texto tengan una mínima efectividad, porque Estados Unidos no tiene ninguna obligación de comunicar o confirmar a un extranjero que sus datos personales están siendo revisados por sus agencias de inteligencia. Así que, ¿cómo van a protestar por ser investigados cuando ni siquiera saben si lo están siendo?

El abogado asegura que los políticos saben que el texto no se sostendrá ante el Tribunal de Justicia de la Unión Europea, pero con el mismo han ganado un par de años hasta que se emita una nueva sentencia que, con toda probabilidad, se llamará Schrems III.

¿Y por qué aprueba la Comisión un texto que nace muerto? Nadie lo sabe con exactitud. Algunos afirman que es parte de una negociación política —nuestros datos a cambio de gas americano en un momento en el que hemos prescindido de nuestro principal proveedor, Rusia— otros, que es por pura incompetencia. Lo único que es seguro es que, 23 años después de «Safe Harbor», los políticos de uno y otro lado siguen sin ser capaces de firmar un acuerdo que proporcione seguridad jurídica a empresas y ciudadanos.

Durante esos 23 años, la inmensa mayoría de nuestros medios de comunicación han tratado el tema de nuestra privacidad más como un fastidio que como uno de los pilares de nuestra Sociedad. Hasta el punto de que muchos creen que la Unión Europea se extralimita en la defensa del mismo y Schrems no es más que un pesao en busca de notoriedad.

Sin embargo, el abogado austriaco siempre recuerda que, en realidad, ambas potencias tienen visiones muy parecidas sobre el derecho a la privacidad. El problema es que Estados Unidos solo reconoce ese derecho a sus ciudadanos, pero no a los extranjeros, mientras que la Unión Europea trata a todos por igual.

La solución no será el «Privacy Framework», pero parece tan sencilla como evidente. Esperemos no tener que necesitar una Schrems IV.

Bonilla goes leguleyo en la bonilista 16/07/2023